基于jsonwebtoken+passport实现token验证拦截

最新推荐文章于 2024-05-12 09:53:13 发布
最新推荐文章于 2024-05-12 09:53:13 发布
阅读量880 收藏 5
点赞数 1
分类专栏: Node JWT 文章标签: node.js vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38207472/article/details/104238728
版权
Node 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
JWT
1 篇文章 0 订阅
订阅专栏

1. JSON Web Token

JWT是实现token技术的一种解决方案,是目前最流行的跨域身份验证解决方案。今天我们主要聊一聊基于nodeJS使用jsonwebtoken实现token。

1.1. JWT的基本组成

JWT对象是一个很长的字符串,看起来没有任何规律,通过“.”分隔符分为三个字串。字串之间不换行。如图所示,JWT Token包括三个部分。
在这里插入图片描述

1.1.1. Header

JWT的头部承载两部分信息

  • 声明类型,这里是jwt
  • 声明加密的算法

JWT元数据的JSON对象参考

 {
 	"alg": "HS256",
 	"typ": "JWT"
 }

1.1.2. Payload

和Header一样,Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段:

  1. iss (issuer):签发人
  2. exp (expiration time):过期时间
  3. sub (subject):主题
  4. aud (audience):受众
  5. nbf (Not Before):生效时间
  6. iat (Issued At):签发时间
  7. jti (JWT ID):编号

也可以自定义私有字段

1.1.3. signature

Signature 部分是对前两部分的签名,防止数据篡改。基本步骤如下:

  • 指定一个密钥(secret)作为混淆。这个密钥只有服务器才知道,不能泄露给用户。
  • 使用 Header 里面指定的签名算法(默认是 HMAC SHA256)按照一定的公式进行计算得到签名。
  • 得到签名以后,把 Header、Payload、Signature 三个部分进行拼接,也就是前文讲到的长字符串
  • 将该长字符串作为token返回给前端。

1.2. 用法

前端接收到token,可以将其存储在localStorage、sessionStorage中(注意两者区别),也可以存储在Cookie中。
注意:存储在cookie中可以自动发送,但是无法进行跨域
一般来讲,我们会将token放入请求头部的Authorization中,接下来我们会进行实验。

2. jsonwebtoken

实验的项目是基于nodeJS开发的后台,我们选用jsonwebtoken作为生成token的辅助库。

  • npm安装

https://www.npmjs.com/package/jsonwebtoken
官方文档是个好东西,根据文档,基本配置如下:

/**
 * 签名
 * @param {*} rules 签名规则
 * @param {*} secretOrKey 密钥
 * @param {*} options token的属性
 * @param {*} callback 回调函数
 */
jwt.sign(rules, secretOrKey, options, callback)
  • 登录验证成功生成token

由此,我们根据项目需求,在登录确认账号密码无误之后,使用jsonwebtoken生成签名。
首先应该在相关文件导入jsonwebtoken。

// 导入依赖包
const jwt = require("jsonwebtoken")

登录验证核心代码如下,注意一点,生成的签名前面,必须加”Bearer “,这是作者的要求哦!

// 核心代码
if (doc.password === req.body.password) {
	const rule = { id: doc._id, email: doc.email }
	jwt.sign(rule, "secret", { expiresIn: 3600 }, (err, token) => {
	    if (err) {
	        res.json({
	            status: 500,
	            msg: "登录失败!"
	        })
	    } else {
	        res.json({
	            status: 200,
	            token: "Bearer " + token,
	            email: doc.email,
	            name: doc.name
	        })
	    }
	})
}
  • 测试

推荐一款不错的插件,可以替代postman。
在这里插入图片描述
在VSCode使用REST Client进行测试,代码如下:

POST http://localhost:5000/api/user/login HTTP/1.1
content-type: application/json

{
    "email": "xxxxxx@qq.com",
    "password": "123456"
}

发起请求,结果如下:

HTTP/1.1 200 OK
X-Powered-By: Express
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, PUT, POST, OPTIONS
Access-Control-Allow-Headers: Content-Type, Authorization, Content-Length, X-Requested-With
Content-Type: application/json; charset=utf-8
Content-Length: 280
ETag: W/"118-3gBqMYUKarbx0KPF29gjiAi8UjI"
Date: Sun, 09 Feb 2020 11:20:11 GMT
Connection: close

{
  "status": 200,
  "token": "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjVlMjdiYzRhZjIwN2U5ZDc5OGUzN2RmMCIsImVtYWlsIjoiNzQxNTgxODc5QHFxLmNvbSIsImlhdCI6MTU4MTI0NzE4NiwiZXhwIjoxNTgxMjUwNzg2fQ.5hfAiTeSO9CEowEv9DW4vW9T2dh92awZEDkWiQqYXpg",
  "email": "xxxxxx@qq.com",
  "name": "Hans"
}

我们可以看到,后台成功给我们返回了token,将其存在sessionStorage中。为了让我们接下来每次请求都带上这个token,我们在前端写一个请求拦截,主要用于在请求头部增加一个字段Authorization,值为token,代码如下:

// axios请求拦截
axios.interceptors.request.use(config => {
  NProgress.start()
  config.headers.Authorization = window.sessionStorage.getItem('token')
  return config
})

登录之后的请求都会带上token
在这里插入图片描述

3. passport-jwt

我们将使用这一辅助库对前端请求携带的token进行解析检验,如果检验通过,则放行,若不通过,则拦截,返回Unauthorized

  • npm安装

https://www.npmjs.com/package/passport-jwt

  • 基本配置

官方文档有较为详细的说明,主要是要对JwtStrategy的实例化。

var JwtStrategy = require('passport-jwt').Strategy,
    ExtractJwt = require('passport-jwt').ExtractJwt;
var opts = {}
opts.jwtFromRequest = ExtractJwt.fromAuthHeaderAsBearerToken();
opts.secretOrKey = 'secret';
opts.issuer = 'accounts.examplesoft.com';
opts.audience = 'yoursite.net';
passport.use(new JwtStrategy(opts, function(jwt_payload, done) {
    User.findOne({id: jwt_payload.sub}, function(err, user) {
        if (err) {
            return done(err, false);
        }
        if (user) {
            return done(null, user);
        } else {
            return done(null, false);
            // or you could create a new account
        }
    });
}));
  • 初始化

我们首先应该在后台的主文件初始化passport,我的项目是server.js。

// 导入passport
const passport = require("passport");
// passport初始化
app.use(passport.initialize());
require("./config/passport")(passport);
  • 解析token,通过则放行

config/passport.js文件代码如下:

var JwtStrategy = require('passport-jwt').Strategy,
    ExtractJwt = require('passport-jwt').ExtractJwt;

//设置策略选项
let opts = {
    // 密钥
    secretOrKey: "secret",
    // 定义从请求头的Authrization抽取token数据
    jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken()
}

// 实例化策略对象
var jwtConfig = new JwtStrategy(opts, (jwt_payload, done) => {
    // jwt_payload是经过解析的 token字符串,
    console.log(jwt_payload);
    User.findOne({ email: jwt_payload.email })
        .exec((err, user) => {
            if (err) {
            	// 若失败,则返回401,Authorization
                return done(result.error, false);
            } else {
                if (user) {
                	// 成功则放行
                    return done(null, user);
                } else {
                	// 若失败,则返回401,Authorization
                    return done(result.error, false);
                }
            }
        });
});

module.exports = passport => {
    passport.use(jwtConfig)
}

在server.js,应该利用passport.authenticate()进行验证拦截

passport.authenticate("加密算法策略", 验证条件,回调)

示例代码如下:

app.use("/api/records", passport.authenticate("jwt", { session: false }), recordsRouter)
  • 测试

到此为止,我们已经完成了整个JWT验证的所有配置,接下来进行测试。仍然使用REST Client进行测试,带上Authorization。

GET http://localhost:5000/api/records/histories?email=xxxxxx@qq.com HTTP/1.1
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjVlMjdiYzRhZjIwN2U5ZDc5OGUzN2RmMCIsImVtYWlsIjoiNzQxNTgxODc5QHFxLmNvbSIsImlhdCI6MTU4MTI0ODExNCwiZXhwIjoxNTgxMjUxNzE0fQ.ItfaSVJTWiENE9Hq9S7ygr-Fmiuk3WNXyVn85uprHdY

结果如下:

HTTP/1.1 200 OK
X-Powered-By: Express
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, PUT, POST, OPTIONS
Access-Control-Allow-Headers: Content-Type, Authorization, Content-Length, X-Requested-With
Content-Type: application/json; charset=utf-8
Content-Length: 2807
ETag: W/"af7-QTQanyH1ZISPRxlui9VxauIxQSA"
Date: Sun, 09 Feb 2020 11:57:15 GMT
Connection: close

{
  "status": 200,
  "msg": []
}

如果我们不在Header中加入Authorization,会发生说明呢?如下所示:

HTTP/1.1 401 Unauthorized
X-Powered-By: Express
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, PUT, POST, OPTIONS
Access-Control-Allow-Headers: Content-Type, Authorization, Content-Length, X-Requested-With
Date: Sun, 09 Feb 2020 12:00:24 GMT
Connection: close
Content-Length: 12

Unauthorized

返回状态码401,以及Unauthorized,说明未验证通过。

3. 结语

花了一点时间,总结一下jwt,还是收获不少的。希望大家能够从中获益,能够帮助到大家,是一件非常开心的事情。如果有什么不对的地方,还望指正。

Hans Huang
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringMVC学习(五):SpringMVC中的异常处理和拦截
骑着蜗牛行天下
11-12 413
七、SpringMVC中的异常处理 (1)异常处理的思路 ​ 系统中异常包括两类:预期异常和运行时异常 RuntimeException,前者通过捕获异常从而获取异常信息,后者主要通过规范代码开发、测试通过手段减少运行时异常的发生。 ​ 系统的 dao、service、controller 出现都通过 throws Exception 向上抛出,最后由 springmvc 前端控制器交由异常处理器进行异常处理,如下图: (2)实现步骤 1、编写异常类和错误页面 //自定义异常类 public clas
登录拦截验证token
逆天killer的博客
01-04 309
package com.futuredata.web.portrait.aspect; import com.futuredata.web.portrait.login.utils.MemoryCache; import com.futuredata.web.portrait.pojo.Response; import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.annotation.Around; import org.as
掌握你的API安全:Passport-JWT策略解析与应用
最新发布
gitblog_00068的博客
05-12 309
掌握你的API安全:Passport-JWT策略解析与应用 项目地址:https://gitcode.com/mikenicholson/passport-jwt 在这个数字化时代,API已经成为连接服务和应用程序的桥梁。而API的安全性则至关重要,这就是为什么你需要了解和使用passport-jwt这个强大的工具。它是一个基于Passport的身份验证策略,专为使用JSON Web Token(...
springBoot JWT实现websocket的token登录拦截认证
god_sword_的博客
07-03 2864
springBoot JWT实现websocket的token登录拦截认证 功能:所有关于websocket的请求必须登录实现websocket需要登录后才可使用,不登录不能建立连接。
基于TOKEN登录拦截的简单使用规则(设置token过期时间可自己使用redis进行)
qq_45776774的博客
03-21 5775
1.导入依赖 com.auth0 java-jwt 3.4.0 2.先导入 token的生成和编译的工具类 JwtUtil.java(工具类放在最后了) 3.在 service业务层 登录验证成功之后 返回用户对象 通过UUID,用户id,用户名 作为依据生成 token (生成token尽量不要使用 密码这些隐秘的操作)并将生成的 token 一并返回到 前端去...
springboot 整合 JWT 和请求拦截实现利用 token 做请求安全拦截校验,且实现阻止并发登录
Johnson_7的博客
09-15 3038
springboot 整合 JWT 和请求拦截实现利用 token 做请求安全拦截校验,且实现阻止并发登录
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
nginx+lua+redis实现token验证
09-29
本文将深入探讨如何利用`nginx+lua+redis`来实现`token`验证,以确保只有经过授权的用户才能访问受保护的资源。 首先,让我们理解`token`验证的基本原理。`token`验证是一种身份验证机制,它允许客户端通过提供一个...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
node.js+captchapng+jsonwebtoken实现登录验证示例
10-19
本篇文章主要介绍了node.js+captchapng+jsonwebtoken实现登录验证示例,具有一定的参考价值,有兴趣的可以了解一下
SpringBoot 全局拦截请求(jwt token登录校验,全局拦截请求jwt)
梵法利亚的博客
06-23 2578
springboot2.x jwt token登录校验,全局拦截请求jwtpom.xml添加jwt依赖 生成和解析token的工具类 1.对称加密算法 2.非对称加密算法 采用RSA算法 RSAUtils 工具生成公私钥对 拦截器Interceptor 拦截请求,校验jwt 自定义拦截Interceptor 在需要jwt验证的controller的方法上加上注解LoginJWT...
基于Token登录验证与统一拦截(一个JWT的Demo)
诺浅的专栏
12-14 1248
为什么要采用Token登录验证 上一篇文章我们讲述了基于session+cookie的登录逻辑怎么做,这种模式在服务端为单体应用的且客户端为PC端浏览器是没有问题的,但是如果服务端做集群部署的话就需要考虑的session的统一存储,且这种模式不适用与APP端,毕竟APP端不会像浏览器那样自己管理cookie.此时采用JWT就是一个很好的选择,服务端无需存储token,也就更加适用于集群部署的情况,这也就是所说的无状态。 一个JWT的Demo 引入jwt依赖包 <dependency>
我的NodeJS学习之路7(权限认证)
刘泽美的博客
02-07 2195
本文来介绍系统中用到的权限认证的知识。 首先简单介绍一下passportjs。 Passport登录验证具有:灵活性、模块化、丰富的中间件等特点,更加详细的介绍请参考:http://idlelife.org/archives/808 如何在项目中使用passport? 注意:关于passport的配置信息要放置在app.js所有的路由请求上面,这样才能对所有的路由进行过滤。 1. 安装集成 ...
使用Json Web Token设计Passport系统
weixin_33720956的博客
08-05 128
一、Token Auth机制 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。 相比原始的Cookie+Session方式,更适合分布式系统的用户认证,绕开了传统的分布式Session一致性等问题。 基于Token的身份验证的主流程如下: 用户通过用户名和密码发送请求;程序验证;程序返回一个签名的token 给客户端;客户端储存token,并且每次用于...
JWT技术--JSON Web Token
热门推荐
qq_25046827的博客
04-07 1万+
一、JWT简介 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 使用方式:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登录状态的办法,通过token来代表用户身份。 Authorization (授权) : 这是使用J
全栈之初识 Passport & Passport-jwt – Web安全的守护神
张兴华的博客
01-09 2240
一、Passport 简介 passport.js是Nodejs中的一个做登录验证的中间件,极其灵活和模块化,并且可与Express、Sails等Web框架无缝集成。Passport功能单一,即只能做登录验证,但非常强大,支持本地账号验证和第三方账号登录验证(OAuth和OpenID等),支持大多数Web网站和服务。 官网: http://passportjs.org/ Github: http...
node.js搭建接口:Node-使用passport-jwt验证token
qq_43115985的博客
12-07 645
本节使用passport-jwt和passport中间件来验证tokenpassport-jwt是一个针对jsonwebtoken的插件,passport是express框架的一个针对密码的中间件 那么首先还是需要安装passport-jwt和possport npm install passport-jwtnpm install passport 然后在入口文件server.js中引入passport ...
用户验证----jwt生成token,及token解析 Python Flask
A_Coding_Man
12-21 1257
参考链接:https://www.cnblogs.com/lowmanisbusy/p/10930856.html import time import jwt # payload token_dict = { 'iat': time.time(), # 时间戳 'name': 'lowman' # 自定义的参数 } """payload 中一些固定参数名称的意义, 同时可以在payload中自定义参数""
redis+token实现登录验证
04-30
使用Redis Token实现登录验证具有以下优点: 1.高效:对于大流量网站,Redis Token可以提高登录验证的效率,避免频繁操作数据库导致性能下降。 2.安全:Redis Token可以通过设置Token的超时时间、Token与用户信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值